Синтаксис

crypto isakmp fragmentation 

no crypto isakmp fragmentation

Значение по

умолчанию

по умолчанию фрагментирование IKE-пакетов отключено.

Режимы команды

Global configuration

Рекомендации по использованию

Фрагментирование IKE-пакетов необходимо в тех случаях, когда в процессе доставки длинные UDP-пакеты либо не пропускаются промежуточным узлом, либо некорректно фрагментируется на ip-уровне. Проблема актуальна для IKE-пакетов с потенциально длинным содержимым: сертификаты, идентификаторы, открытые ключи и инициализационные данные.

IKE-пакеты, отсылаемые непосредственно после их формирования, всегда отсылаются нефрагментированными.

Если от партнёра не получен ответ, и принимается решение о перепосылке (ретрансмиссии) пакета, то проверяется:

•      Активировано ли IKE-фрагментирование на локальном устройстве;

•      Активировано ли IKE-фрагментирование на стороне партнёра. (Примечание: первый пакет сессии не может быть фрагментирован, поскольку нет сведений, активировано ли IKE-фрагментирование на стороне ответчика);

•   Превышает ли размер перепосылаемого пакета значение, вычисленное из заданной величины FragmentSize с учётом всех возможных дополнительных заголовков.

В случае выполнения всех условий перепосылаемый IKE-пакет разбивается на блоки. Максимально возможное количество блоков не превышает 255 фрагментов. Минимально возможная результирующая длина фрагмента с UDP-заголовком - 304 байта.

Если условия не выполнены, то ретрансмиссия отсылается без фрагментирования.

Примечание

Следует учитывать, что операционная система сама устанавливает длину ip-заголовка, что может приводить к фактическому уменьшению длины ip-пакета с IKE-фрагментом на величину до 44 байтов (максимально допустимый размер ip-заголовка - 64 байта, наиболее часто используемый - 20 байтов)